使用本指南在 LangSmith 中配置 TLS。首先挂载内部证书颁发机构 (CA),以便您的部署在系统范围内信任正确的根证书,用于数据库或外部服务调用。然后,您可以配置 Playground 特定的 mTLS,以便与受支持的模型提供商进行安全通信。 本页包含:
  • 挂载内部证书颁发机构 (CA) 系统范围,以为数据库连接和 Playground 模型调用启用 TLS
  • 使用 Playground 特定的 TLS 设置为 mTLS 提供客户端证书/密钥与受支持的模型提供商

挂载内部 CA 以进行 TLS

您必须使用 Helm chart 版本 0.11.9 或更高版本才能使用以下配置挂载内部 CA。
使用此方法使 LangSmith 在系统范围内信任内部/公共 CA(Playground 模型调用和数据库/外部服务连接)。
  1. 创建一个文件,其中包含数据库和外部服务的 TLS 所需的所有 CA。如果您的部署直接与 beacon.langchain.com 通信而不通过代理,请确保包含公共信任的 CA。所有证书应在此文件中连接在一起,之间有一个空行。 
    -----BEGIN CERTIFICATE-----
<PUBLIC_CA>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<INTERNAL_CA>
-----END CERTIFICATE-----

...
  2. 创建一个 Kubernetes 密钥,其中包含此文件内容的键。 
    kubectl create secret generic <SECRET_NAME> --from-file=<SECRET_KEY>=<CA_BUNDLE_FILE_PATH> -n <NAMESPACE>
  3. 如果对数据库和其他外部服务使用自定义 CA 进行 TLS,请向 LangSmith helm chart 提供以下值:
    Helm
    config:
  customCa:
    secretName: <SECRET_NAME> # 步骤 2 中创建的密钥名称。
    secretKey: <SECRET_KEY> # 包含 CA 捆绑包的密钥中的键。

clickhouse:
  external:
    tls: true # 仅在您需要为 Clickhouse 启用 TLS 时才启用。
postgres:
  external:
    customTls: true # 仅在您需要为 Postgres 启用 TLS 时才启用。
  4. 确保使用支持 TLS 的连接字符串:
    • Postgres:在末尾添加 ?sslmode=verify-full&sslrootcert=system
    • Redis:使用 rediss:// 而不是 redis:// 作为前缀。

为模型提供商使用自定义 TLS 证书

此功能目前仅适用于以下模型提供商:这些 TLS 设置适用于所选模型提供商的所有调用(包括在线评估)。当提供商需要双向 TLS(客户端证书/密钥)或当您必须使用特定 CA 覆盖对提供商调用的信任时使用它们。它们补充了上面配置的内部 CA 捆绑包。
您可以使用自定义 TLS 证书连接到 LangSmith Playground 中的模型提供商。如果您使用自签名证书、来自自定义证书颁发机构的证书或双向 TLS 身份验证,这将很有用。 要使用自定义 TLS 证书,请设置以下环境变量。有关如何配置应用程序设置的更多信息,请参阅自托管部署部分
  • LANGSMITH_PLAYGROUND_TLS_MODEL_PROVIDERS:需要自定义 TLS 证书的模型提供商的逗号分隔列表。请注意,azure_openaiopenaicustom 目前是唯一受支持的模型提供商,但将来会支持更多提供商。
  • [可选] LANGSMITH_PLAYGROUND_TLS_KEY:PEM 格式的私钥。这必须是文件路径(用于挂载的卷)。这通常仅对于双向 TLS 身份验证是必需的。
  • [可选] LANGSMITH_PLAYGROUND_TLS_CERT:PEM 格式的证书。这必须是文件路径(用于挂载的卷)。这通常仅对于双向 TLS 身份验证是必需的。
  • [可选] LANGSMITH_PLAYGROUND_TLS_CA:PEM 格式的自定义证书颁发机构 (CA) 证书。这必须是文件路径(用于挂载的卷)。仅当您使用低于 0.11.9 的 helm 版本时才使用此选项挂载 CA;否则,请使用上面的挂载内部 CA 以进行 TLS 部分。
设置这些环境变量后,进入 LangSmith Playground 设置页面并选择需要自定义 TLS 证书的提供商。照常设置您的模型提供商配置,在连接到模型提供商时将使用自定义 TLS 证书。
Edit the source of this page on GitHub.
Connect these docs programmatically to Claude, VSCode, and more via MCP for real-time answers.